Совместная ответственность банка и оператора GSM за атаку по замене SIM-карты

Атака SIM swap (мультиплексирование/клонирование SIM-карт); Все начинается с того, что злоумышленник с помощью социальной инженерии убеждает колл-центр или дилера оператора GSM передать право владения линией жертвы на новую SIM-карту. Теперь злоумышленник получает SMS от жертвы; Банк считывает OTP-коды 2FA, входит в онлайн-банкинг и очищает счет.

В данной статье рассматривается юридическая ответственность оператора GSM и банка за виктимизацию по обмену SIM-карт в рамках общего законодательства. Результат зависит от файла; Солидарная ответственность может быть установлена не во всех случаях.

Правовая основа

<ул>

Закон об электронных коммуникациях № 5809 и правила БТК — обязанность оператора KYC и п��оцедура перевода линии

Закон о дебетовых и кредитных картах № 5464 и общие банковские правила — обязанность банка проявлять осторожность

Закон о защите прав потребителей № 6502 — иск в суде по защите прав потребителей, некачественное обслуживание.

ТБК № 6098, статья 49 и последующие — Ответственность за причинение вреда

Ответственность оператора GSM

Оператор должен провести процедуру проверки личности без каких-либо ошибок в процессе перевода линии. Следующие ситуации могут быть оценены против оператора:

<ул>

Передача по поддельному удостоверению личности или по фиктивной доверенн��сти.

Отправка новой SIM-карты, когда в колл-центре недостаточно вопросов для аутентификации.

Транзакции, совершенные у дилера без ксерокопии удостоверения личности или мокрой подписи.

Игнорирование сигналов жертвы о «подозрительной транзакции».

Ответственность банка

С точки зрения банка также ожидается наличие нескольких уровней безопасности. Рубрики, оцененные в рамках практики 11-й Гражданской палаты Верховного апелляционного суда:

<ул>

Слабая архитектура двухфакторной аутентификации, основанная только на SMS-OTP.

Отпечатки пальцев устройства не отслеживаются.

Поведенческий анализ и предупрежде��ие о несоответствии геолокации не работают.

Нет дополнительной проверки (внешней) при единовременных электронных переводах на большие суммы.

Процесс невозможно быстро остановить в потоке «идентификация нового устройства → смена пароля → перевод большой суммы».

Настройка солидарной ответственности

Практическая стратегия работы с файлами подкачки SIM-карт; Речь идет о подаче параллельного иска против двух учреждений. Суд; Он может определить вину обоих учреждений и распределить компенсацию в соответствии с уровнем их вины. Типичная структура кейса:

<быть>

Против банка и оператора в потребительском арбитражном комитете/потребительском суде

Жалоба в Генеральную прокуратуру на нарушителя, ст. 244, ст. 245, ст. 158/1-f TCK

Отчет криминалистической экспертизы: раскрывается вектор и сроки атаки.

Ответственность жертвы

Жертва также должна была проявить разумную осторожность. В таких случаях, как «Я передал свой пароль кому-то другому» или «Я нажал на фишинговую ссылку и поделился своей информацией», ответственность банка/оператора снижается. Следующие действия оцениваются в вашу пользу:

<ул>

Включить уведомления о транзакциях в банковском приложении

Пароли не разглашаются.

Звонок оператору и банку, как только телефон отключится

Запись подозрительных SMS и звонков

Ожидания по сбору

Возможность сбора в файлы подкачки SIM-карт; Это зависит от своевременного обнаружения атаки, возможности заморозить деньги без обращения на цепных счетах и ​​уровня ошибок двух учреждений. Никаких конкретных обещаний по поводу по��ашения не может быть дано. Когда устанавливается солидарная ответственность, процент ошибок обычно определяется на основе оценки конкретных доказательств в ходе судебного разбирательства.

Превентивные меры

<быть>

Активируйте у своего оператора «блокировку перевода линии» или «дополнительный PIN-код безопасности»..

Если в банковском приложении вместо SMS есть опция подтверждения OTP на основе приложения или устройства, выберите ее.

Если телефон внезапно отключился, немедленно позвоните своему оператору и в банк.

Для транзакций на большие суммы согласуйте снижение дневного лимита переводов со своим банком.

Заключение

Преследование при замене SIM-карты; Это многосторонний юридический процесс, который должен проводиться не против одного учреждения, а против тройки: банк + оператор + преступник. Раннее обнаружение и параллельное применение повышают вероятность сбора данных; Результат в каждом файле разный.